学生程序设计能力提升平台源码分析(八)jwt+spring security+filter身份校验与权限控制分析

最新推荐文章于 2023-11-03 15:41:13 发布
最新推荐文章于 2023-11-03 15:41:13 发布
阅读量430 收藏 1
点赞数
分类专栏: sdu-pta项目分析 文章标签: java spring boot 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nothing_wawa/article/details/121459549
版权

前言

2021SC@SDUSC

概述

在之前的所有分析中,我们分析了项目的配置和架构情况,并且根据后端的MVC架构,在不同的层级,对spring boot框架本身以及注解的使用方法和内部原理进行了着重分析,希望能加深对spring boot框架机制的理解情况。

在后面的分析里,我们将把分析的重点放在项目所使用的其他技术上,比如jwt,spring security,rabbitmq,nginx等等,重点讲解其内部原理,附带项目配置和使用方法。

在本次的博客里,我们将重点先放在项目的身份校验与权限控制上,技术上使用了jwt+spring security+filter来实现。

基本配置

可参考:

Spring Security基本配置 - 仅此而已-远方 - 博客园

以及我项目组成员的具体介绍:

Spring Security+JWT实现身份认证与权限控制_alphahao的博客-CSDN博客

后者有在本项目的详细配置,不再赘述。

原理分析

身份校验

Spring Security的登录验证流程核心是过滤器链(Filter Chain)。

当一个请求到达时按照过滤器链的顺序依次进行处理,通过所有过滤器链的验证的请求才能访问接口。

同时,在验证的同时进行授权,方便之后的权限管理。

 (图源alphahao)

Spring Security的封装程度较高,我们使用时只需要调用其实现的方法就可以实现相关功能。

SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:

  • BasicAuthenticationFilter实现的是HttpBasic模式的登录认证
  • UsernamePasswordAuthenticationFilter实现用户名密码的登录认证
  • RememberMeAuthenticationFilter实现登录认证的“记住我”的功能
  • SmsCodeAuthenticationFilter实现短信验证码登录认证
  • SocialAuthenticationFilter实现社交媒体方式登录认证的处理
  • Oauth2AuthenticationProcessingFilter和Oauth2ClientAuthenticationProcessingFilter实现Oauth2的鉴权方式

以用户名密码的登录认证为例的流程如下:(图源alphahao)

 security config源码:

spring security的全局配置都在这里,在此方法中添加filter来控制身份校验的流程。

package cn.sdu.sdupta.config;


import cn.sdu.sdupta.filter.JwtAuthenticationFilter;
import cn.sdu.sdupta.filter.OptionsRequestFilter;
import cn.sdu.sdupta.handler.UsernameLoginSuccessHandler;
import cn.sdu.sdupta.handler.JwtRefreshSuccessHandler;
import cn.sdu.sdupta.service.JwtUserService;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.logout.HttpStatusReturningLogoutSuccessHandler;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

import java.util.Arrays;
import java.util.Collections;

@EnableWebSecurity(debug = false)
@EnableGlobalMethodSecurity(prePostEnabled = true)
class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //授权
        http.authorizeRequests()
                .antMatchers("/user/login", "/user/admin/login", &#
最低0.47元/天 解锁文章
??Nothing
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security权限控制(二)
qq_30262407的博客
06-12 227
这个项目采用了已登录用户身份认证token校验,以及未登录用户用户名密码校验方式,初次查看Config时候没有发现在什么地方配置了Token以及Username/password的校验,经过对源码的逐行分析,发现了这几行 是一个很复杂的类,继承自AbstractHttpConfigurer,也是一个配置文件,源码中仅有 与 两个方法,对于基类而言只是一个单纯的容器类,用以装载具体的配置信息。在父类的基类中,有以下几个比较重要的方法 init方法用以初始化配置容器 configure()方法用来具体配置
Spring SecurityJWT认证和授权
thlzjfefe的博客
02-23 572
上一篇博客讲了如何使用Shiro和JWT做认证和授权(传送门:https://www.jianshu.com/p/0b1131be7ace),总的来说shiro是一个比较早期和简单的框架,这个从最近已经基本不做版本更新就可以看出来。这篇文章我们讲一下如何使用更加流行和完整的spring security来实现同样的需求。 Spring Security的架构 按照惯例,在使用之前我们先讲一下简...
SpringSecurity JwtAuthenticationTokenFilter过滤器
weixin_46256404的博客
11-15 3724
SpringSecurity JwtAuthenticationTokenFilter过滤器
SpringSecurity 自定义JwtAuthorFilter基于JWT的Token验证
qq_31142237的博客
09-15 5231
根据上篇的实现思想,现在我们正式实现下内容。 需要实现的内容(基于之前的实现SpringSecurity 架子): 1. 修改 JwtAuthenticationSuccessHandler ,需要将上下文信息存入redis: 因为验证环节需要实现从redis获取上下文,设置为SecurityContextHolder。 2. 自定义实现JwtAuthorFilter,拦截所有请求,对token进行验证,验证内容:是否携带token,是 否有效等(根据需求实现):进行toke...
学生程序设计能力提升平台 Spring Security的应用(一)
qq_30262407的博客
10-07 232
2021SC@SDUSC 学生程序设计能力提升平台 Spring Sercurity的应用Spring security的使用Configration-http/httpsConfigration-corsConfiguration-login/logout Spring security的使用 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authent
springboot整合 shrio+jwt的登录及权限控制.rar
05-20
在本文中,我们将深入探讨如何在Spring Boot应用中整合Shiro和JWT(JSON Web Token)以实现用户登录和接口权限控制Spring Boot以其简洁、快速的特性被广泛应用于开发Java Web应用,而Shiro和JWT则分别是安全管理...
spring security 实现动态权限和短信验证码登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证码登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
spring boot+shiro 权限认证管理案例
12-20
通过以上步骤,我们可以构建一个集成了 Spring Boot 和 Shiro 的权限认证管理系统,能够实现用户登录、权限校验、会话管理等功能,同时利用缓存提升系统性能。在实际开发中,还可以根据需求扩展 Shiro 功能,例如...
SPRINGBOOT+JWT
07-16
以上就是SpringBoot结合JWT身份验证案例的主要技术点和流程,这个案例提供了从用户认证到权限控制的完整解决方案,对于理解和实践Spring Security以及JWT认证机制非常有帮助。通过学习和运行这个案例,开发者可以更...
SpringSecurityMySQLHttpBasic:SpringSecurity + MySQL
06-05
SpringSecurity是一款广泛应用于Java平台的安全框架,用于处理应用程序的安全需求,包括身份验证、授权和访问控制等。在“SpringSecurityMySQLHttpBasic”项目中,它与MySQL数据库结合使用,提供了基于HTTP基本认证...
Spring Security +JWT 原理浅析
北辰之北灬的博客
01-10 1173
从实践的角度浅析Spring Security的实现原理
JwtAuthorizationFilter config
GGHuWei的博客
07-17 535
package github.javaguide.springsecurityjwtguide.security.filter; import github.javaguide.springsecurityjwtguide.security.common.constants.SecurityConstants; import github.javaguide.springsecurityjwtguide.security.common.utils.JwtTokenUtils; import io.jsonw
Jwt认证过滤器实现
qq_58137891的博客
05-09 1175
定义Jwt过滤器后,当用户是已登录状态时,在请求头中携带token便可访问相关网页。
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 4211
SpringSecurity+JWT快速入门
Spring Security采用JWT验证时filter异常处理和JWT续期问题
最新发布
hey_lie的博客
11-03 1981
1.spring security JWT过滤器异常自定义处理 2.spring security 认证和授权时的异常自定义处理 3.JWT 续期问题
spring security+jwt 实现认证授权
IT_cdc的博客
03-10 5059
目录结构 具体代码 config 配置类 DefaultControllerAdvice.java package com.stu.manage.demo.config; import com.stu.manage.demo.result.Result; import com.stu.manage.demo.result.ResultEnum; import com.stu.manage.demo.result.ResultUtil; import org.springframework.w
Spring Sercurity权限控制(一)
qq_30262407的博客
06-12 854
spring security 的核心功能主要包括:其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 允许未经授权即可访问的接口 这一段代码允许了所有不经过SpringSercurity即可访问访问的接口,包含登录,注册等。利用登录注册的过程是本省就不要任何权限就能做的。标明除此上一段代码排除的白名单外所有的接口均是需要鉴权的禁用csrf以及ses
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
jwt + springsecurity+redis
08-20
- *1* [基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码](https://download.csdn.net/download/2301_76965813/87778818)[target="_blank" data-report-click={"spm":"1018.2226.3001...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值